Saksan Baijerin osavaltion tietosuojaviranomainen totesi 15. maaliskuuta yhdysvaltalaisen uutiskirjepalvelu Mailchimpin käytön olleen lainvastaista. Linjaus perustuu kesällä 2020 säädettyyn Schrems II -tuomioon, joka kumosi Euroopan ja Yhdysvaltojen välisen Privacy Shield -sopimuksen.

Tuomio edellyttää, että Euroopasta Yhdysvaltoihin siirrettävä data tulisi aina suojata Euroopan tietosuoja-asetus gdpr:n tasoisesti ja linjasi, etteivät tähän tarkoitukseen tavallisesti käytettävät EU:n mallisopimuslausekkeet yksinään takaa riittävää tietosuojaa.

National Law Reviewin mukaan kyseessä oli saksalainen muotilehti, joka oli luottanut tiedonsiirrossaan mallisopimuslausekkeisiin. Lehti oli Mailchimpiä käyttämällä tullut laiminlyöneeksi asiakkaidensa tietosuojan lähettämällä näiden sähköpostiosoitteet Mailchimpiä ylläpitävälle yhdysvaltalaiselle The Rocket Science Groupille varmistamatta, että tiedot on suojattu tarpeeksi hyvin.

Baijerin tietosuojaviranomaisen tekemän päätöksen mukaan yhtiö ei ollut käyttänyt Schrems II:n edellyttämiä lisäsuojakeinoja, jotka olisivat taanneet datansiirrolle gdpr:n tasoisen yksityisyydensuojan. Lisäsuojakeinojen tarkoituksena on varmistaa, etteivät Yhdysvaltain tiedustelupalvelut pääse käsiksi eurooppalaisyhtiöiden dataan.

Valituksen kohteena ollut yritys on sanonut käyttäneensä palvelua vain kahdesti ja on nyt luvannut lopettaa sen käytön kokonaan. Tapauksesta ei määrätty sakkoja.

Mailchimp on suosittu palvelu myös Suomessa, joten sen käyttäjien kannattaa nyt seurata tarkasti tekeekö Suomen tietosuojavaltuutettu linjausta palvelun laillisuudesta. Baijerin tapaus on ensimmäinen tuotekohtainen ratkaisu, joka perustuu Schrems II -tuomioon.

Dottirin it-juristi Jaakko Lindgrenin mukaan kaikkien Yhdysvaltoihin tietoa siirtävien palveluiden käyttäjien olisi nyt joka tapauksessa tärkeää käydä palvelusopimuksensa läpi ongelmatilanteiden välttämiseksi, sillä kaikki käytössä olevat palvelut eivät enää välttämättä ole laillisia. Mailchimp voi Lindgrenin mukaan muodostua merkittäväksi ennakkotapaukseksi Schrems II:n soveltamisesta.

”Näkisin, että Mailchimp voi toimia päänavauksena, joka aloittaa laajemman trendin. Suomalaisorganisaatioiden pitää arvioida kaikki Yhdysvaltoihin tietoa siirtävät palvelut yksi kerrallaan uudelleen ja katsoa, täyttävätkö ne Schrems II -ratkaisun mukaiset perusteet tiedonsiirrolle.”